Google видаляє XSS Auditor з браузера Chrome після серії вразливостей, що поставили під сумнів ефективність даної функції.
XSS (англ. Cross-Site Scripting – «міжсайтовий скриптинг») – тип атаки на веб-системи через впровадження шкідливого коду в сторінку, що видається (код буде виконаний на комп’ютері користувача при відкритті їм цієї сторінки) і взаємодії цього коду з cервером зловмисника. Днями Анті-XSS технологія була визнана застарілою і планується до видалення, як оголосили розробники Chromium 16 липня в Google Groups проекту.
Судячи з обговорень розробників Chromium, таке рішення було пов’язане з проблемами блокування сторінок багатьох благонадійних сайтів.
XSS Auditor з моменту своєї появи в 2010 році в Chrome 4 породив активні суперечки. За час його існування були виявлені численні недоліки, що стали причиною відмови від цієї технології.
Спочатку XSS Auditor працював в режимі фільтрації: веб-ресурс завантажувався, але підозрілий код блокувався, що не завадило виявити безліч способів обходу захисту.
Згодом розробники Chrome вирішили переключити поведінку за умовчанням в режим блокування. Однак цей метод захисту був вразливий до атаки XS-Search / XS-Leak. Також він часто приводив до помилкових спрацьовувань на благонадійних ресурсах і до їх блокування для користувачів браузера.
З недавнього часу Auditor став знову працювати в режимі фільтрації за замовчуванням (швидше за все, щоб знизити негативний ефект з помилкового спрацьовування і блокуванням благонадійних сайтів).
Але це рішення досить скоро викликало сумніви в принципі в ефективності даного захисного механізму. Як зазначає Frederik Braun (Mozilla) в спільному з Mario Heiderich (Cure53) дослідженні «X-Frame-Options: All about Clickjacking?», режим фільтрації є небезпечним підходом і цілком може бути замінений установкою заголовка X-XSS-Protection: 1; mode = block, що, в принципі, теж не є панацеєю.
Варто зазначити, що процес відмови від XSS Auditor був запропонований розробниками Chromium ще в жовтні 2018 року. При цьому зазначалося, що «відсутні будь-які докази того, що аудитор зупиняє будь-які XSS».
Надалі планується використовувати стандарт Trusted Types API, який з деякою часткою ймовірності може бути застосований не тільки в Google Chrome.
Джерело: habr
